CRITICAL🇬🇧 English

CVE-2023-51593

RCE przez expression language injection w Voltronic Power ViewPower Pro

CVSS 9.8v3.0pub. 2024-05-03upd. 2025-07-09

Podatność w Voltronic Power ViewPower Pro umożliwia zdalnym atakującym wykonanie dowolnego kodu bez uwierzytelnienia. Krytyczny poziom zagrożenia wynika z braku wymagań co do uprawnień oraz możliwości pełnego przejęcia kontroli nad systemem.

Pokaż oryginał (EN)

Voltronic Power ViewPower Pro Expression Language Injection Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of Voltronic Power ViewPower Pro. Authentication is not required to exploit this vulnerability. The specific flaw exists within the Struts2 dependency. The issue results from the use of a library that is vulnerable to expression language injection. An attacker can leverage this vulnerability to execute code in the context of LOCAL SERVICE. Was ZDI-CAN-22095.

🤖 Analiza AI
Jak działa

Podatność tkwi w bibliotece Struts2 używanej przez aplikację ViewPower Pro, która jest podatna na expression language injection (CWE-917). Atakujący może przesłać specjalnie spreparowane żądanie do aplikacji, w którym złośliwe wyrażenie zostaje przetworzone i wykonane przez silnik wyrażeń biblioteki Struts2. W efekcie kod zostaje wykonany w kontekście procesu LOCAL SERVICE na atakowanym systemie.

Skutki

Atakujący może zdalnie wykonać dowolny kod w kontekście konta LOCAL SERVICE, co może prowadzić do przejęcia kontroli nad systemem, naruszenia poufności danych, integralności oraz dostępności usług.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się również ograniczenie dostępu sieciowego do interfejsu aplikacji ViewPower Pro za pomocą firewall, aby zminimalizować ekspozycję na nieautoryzowane żądania.

Kogo dotyczy

Voltronic Power ViewPower Pro — wersje wskazane w referencjach producenta (podatność zidentyfikowana jako ZDI-CAN-22095)

Uwagi

Podatność została zgłoszona w ramach programu Zero Day Initiative (ZDI) pod identyfikatorem ZDI-CAN-22095 i opublikowana jako ZDI-23-1896.

CVSS Vector
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Voltronicpower Viewpower

    APP
    Voltronicpower
    2.0-22165
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2023-51576CRITICAL9.8PL ✓ten sam produkt

RCE przez deserializację w Voltronic Power ViewPower (port TCP 51099)

CVE-2023-51581CRITICAL9.8PL ✓ten sam produkt

Voltronic Power ViewPower — RCE przez odsłoniętą niebezpieczną metodę klasy MacMonitorConsole

CVE-2023-51575CRITICAL9.8PL ✓ten sam produkt

Voltronic Power ViewPower — RCE przez niechronioną metodę w klasie MonitorConsole

CVE-2023-51574CRITICAL9.8PL ✓ten sam produkt

Voltronic Power ViewPower — pominięcie uwierzytelnienia przez exposed dangerous method

CVE-2023-51582CRITICAL9.8PL ✓ten sam produkt

Voltronic Power ViewPower — RCE przez wystawioną niebezpieczną metodę LinuxMonitorConsole